- Több mint 38 millió rekord szivárgott ki online a Microsoft Power Apps portálok alapértelmezett konfigurációit használó emberek miatt.
- A kutatók szerint ezeket az érzékeny adatokat tárolták a Microsoft Power Apps portálszolgáltatásában.
- Bizonyos API -k engedélyezésekor a platform alapértelmezés szerint a megfelelő adatokat nyilvánosan hozzáférhetővé tette.
- A felhőalapú adatbázisok hibás konfigurálása komoly problémát jelentett az évek során, hatalmas mennyiségű adatot téve ki nem megfelelő hozzáférés vagy lopás miatt.
Mint tudják, a Power Apps a Microsoft alacsony kódú platformja a szervezetek számára, hogy gyorsan kifejlesszenek teljes körű alkalmazásokat, főleg belső használatra, elülső és háttéralkalommal kiegészítve.
Ez valóban egy hatékony eszköz, amely lehetővé teszi alkalmazások készítését, még akkor is, ha nem vagy jártas a programozásban.
Annak ellenére, hogy a Microsoft rendszeresen frissíti a Power Apps szolgáltatásokat új funkciókkal és képességekkel, egy új jelentés aggodalomra adhat okot a szervezetek számára.
Úgy tűnik, hogy több mint 38 millió rekord szivárgott ki online a Microsoft Power Apps portálok alapértelmezett konfigurációit használó emberek miatt.
Az eset olyan nagyvállalatokat érintett, mint az American Airlines, a Ford, a közlekedési és logisztikai vállalat, a J.B. Hunt, a Maryland Egészségügyi Minisztérium, a New York -i Városi Közlekedési Hatóság és a New York -i lakosság iskolák.
És bár az adatokkal kapcsolatos kitettségeket már megvizsgálták, ezek azt mutatják, hogy egy népszerű platformon egy rossz konfigurációs beállítás milyen messzemenő következményekkel járhat.
Kapcsolatkövetési információk az interneten keresztül
A nyilvánosságra hozott adatokat a Microsoft Power Apps portálszolgáltatásában tárolták, amely egy fejlesztői platform, amely megkönnyíti a webes vagy mobilalkalmazások létrehozását külső használatra.
Ha mondjuk egy járvány idején gyorsan fel kell vennie egy oltási kinevezési regisztrációs oldalt, a Power Apps portálok mind a nyilvános webhelyet, mind az adatkezelési háttérprogramot létrehozhatják.
Még májusban az Upguard biztonsági cég kutatói nyomozni kezdett nagyszámú Power Apps portál, amelyek nyilvánosan nyilvánosságra hozták azokat az adatokat, amelyeknek privátnak kellett volna lenniük.
Ezek között volt néhány Power Apps, amelyet a Microsoft saját céljaira készített.
Azonban az adatok egyike sem tudott veszélybe kerülni, de a megállapítás továbbra is fontos, mivel a Power Apps portálok tervezésének azóta kijavított felügyeletét tárja fel.
A belső adatbázisok kezelése és az alkalmazások fejlesztésének megalapozása mellett a Power Apps platform kész alkalmazásprogramozási felületeket is kínál az adatokkal való interakcióhoz.
A helytelen konfiguráció sebezhetőséghez vezet
Az Upguard kutatói rájöttek, hogy ezen API -k engedélyezésekor a platform alapértelmezés szerint nyilvánosan hozzáférhetővé tette a megfelelő adatokat.
Az adatvédelmi beállítások engedélyezése manuális folyamat volt, és ennek eredményeként sok ügyfél rosszul konfigurálta az alkalmazásait, mivel a bizonytalan alapértelmezettet hagyta.
Találtunk ezek közül egyet, amelyet rosszul állítottak be az adatok nyilvánosságra hozatalához, és úgy gondoltuk, erről még soha nem hallottunk, ez egyszeri dolog, vagy ez rendszerszintű probléma? A Power Apps portálok termékeinek működése miatt nagyon könnyű gyorsan felmérést készíteni. És rájöttünk, hogy rengeteg ilyen van kitéve. Vad volt.
A Microsoft maga számos adatbázist tett közzé saját Power Apps portáljain, köztük egy régit a Global Payroll Services nevű platform, két Business Tools Support portál és egy Customer Insights portál.
A felhőalapú adatbázisok hibás konfigurálása komoly problémát jelentett az évek során, hatalmas mennyiségű adatot téve ki nem megfelelő hozzáférés vagy lopás miatt.
A nagy felhőalapú vállalatok, például az Amazon Web Services, a Google Cloud Platform és a Microsoft Azure lépéseket tettek az ügyfelek adatainak tárolására alapértelmezés szerint privátban a kezdetektől fogva, és megjelöli az esetleges hibás konfigurációkat, de az iparág nem helyezte előtérbe a kérdést, amíg tisztességesen nem nemrég.
Az Upguard kutatói nem tudtak minden entitáshoz eljutni, mert túl sokan voltak, ezért az eredményeket a Microsoftnak is közölték.
A felhasználók a Microsoft eszközével ellenőrizhetik portálbeállításaikat
Augusztus elején, A Microsoft bejelentette hogy a Power Apps portálok mostantól alapértelmezés szerint tárolják az API -adatokat és egyéb információkat privát módon.
A redmondi társaság is kiadott egy szerszámot az ügyfelek ellenőrizhetik portáljuk beállításait.
De a Microsoft javításai és az UpGuard saját értesítései között a szakértők most azt mondják, hogy a nyilvánosságra hozott portálok túlnyomó többsége és az összes legérzékenyebb most már privát.
Más dolgokkal, amelyeken dolgoztunk, köztudott, hogy a felhőalapú vödrök rosszul konfigurálhatók, így nem kötelességünk mindegyiket biztonságban tartani. De ezeket még soha senki nem tisztította meg, ezért úgy éreztük, hogy etikai kötelességünk legalább a legérzékenyebbeket biztosítani, mielőtt beszélhetünk a rendszerszintű kérdésekről.
Mit gondol erről az egész helyzetről? Ossza meg velünk gondolatait az alábbi megjegyzések részben.
